Publié le 23 avril 2021 Mis à jour le 29 avril 2021

Le 15 mai 2021, une mise à jour de WhatsApp modifiera les conditions d'utilisation de l'application notamment en matière de protection des données personnelles. Faut-il s'inquiéter alors qu'elle a été rachetée par Facebook en 2017 ? Jean-Michel Dricot, Cybersecurity Research Center, Ecole polytechnique de Bruxelles, explique les modalités de cette mise à jour et ce pour quoi il faut s'inquiéter.

D'où vient la controverse concernant la mise à jour de WhatsApp? 

J-M Dricot : D’abord, il faut rappeler que WhatsApp a été racheté par Facebook en 2017. Toutes les modifications liées à la protection des données de l'application sont à mettre en lien avec ce rachat. Facebook base son empire sur la revente de métadonnées. La réputation de l'entreprise de Mark Zuckerberg en matière de protection de données et très mauvaise; elle a fauté à de multiples reprises. Il suffit de se rappeler le scandale de Cambridge Analytica.
Par rapport au RGPD, en principe toute donnée de citoyen européen, même stockée ailleurs dans le monde, doit être sujette au RGPD. Les accords EU-USA "privacy shield" et "safe harbor" le garantissent. Seulement on a pu montrer que des entreprises, dont Facebook, contrevenaient de facto au RGPD  en n'offrant pas un niveau de sécurité satisfaisant dans les faits. 
 

Quelles données sont concernées par cette mise à jour ?

J-M Dricot : Concrètement, en acceptant cette mise à jour, l’ensemble des numéros de téléphone enregistrés sur votre appareil seront récupérés par l’application, que ces contacts soient sur WhatsApp ou non. Ils pourront également analyser les interactions entre ces numéros. Il ne s’agit donc pas d’avoir accès directement à vos conversations, mais d’analyser les interactions afin d’établir des « catégories », des « groupes » de gens à cibler lors d’une campagne de marketing pour un produit par exemple, ou de reprendre des messages politiques à un public précis avant un vote, c’est ce qui s’est produit avec Cambridge Analytica. Ces données sont une mine d’or.

Est-ce respectueux du RGPD (Règlement général européen sur la protection des données) ?

J-M Dricot : Cette pratique ne respecte pas le RGPD. Cependant, pour que cette mise à jour soit considérée comme illégale, il faut qu’un citoyen européen porte la question devant la Cour européenne de Justice, que l’autorité de protection des données enquête, que ce non-respect soit démontré… Cela va mettre beaucoup de temps. D’ici là les données seront déjà récupérées et d’autres mises à jour seront probablement mises en place par Facebook.

Ce « vol » de nos données personnelles n’est-il pas une fatalité lorsqu’on s’inscrit sur un réseau social ?

J-M Dricot : D’autres constructions sont possibles. La « récupération » des données personnelles n’est pas une fatalité. On peut construire des applications de réseaux sociaux qui protègent les données dès leur conception. Certaines applications « open source » élaborées notamment par des chercheurs en cybersécurité (comme Signal) proposent les mêmes services que WhatsApp sans pour autant récupérer vos données. Le problème de Facebook est qu’il s’agit d’une entreprise dont le capital repose sur le profilage.

Contact
Communication Recherche : com.recherche@ulb.ac.be